La Commissione europea ha annunciato di aver adottato la propria decisione di adeguatezza sul Data Privacy Framework (DPF) UE-USA, riconoscendo gli Stati Uniti come capaci di fornire un livello adeguato di protezione dei dati personali all’Unione Europea (UE). Di conseguenza, i dati personali possono ora fluire liberamente dall’UE alle società statunitensi che si sono autocertificate, senza necessità di ulteriori garanzie.
Il Data Privacy Framework UE-USA rappresenta un importante passo nel ripristino della fiducia nei trasferimenti transatlantici di dati personali. La decisione è stata presa in risposta alla sentenza Schrems II della Corte di giustizia dell’Unione Europea, che aveva invalidato il precedente Privacy Shield a causa di preoccupazioni sull’accesso ai dati da parte delle agenzie di intelligence statunitensi.
Il nuovo quadro normativo introdotto dal DPF UE-USA affronta queste preoccupazioni in diversi modi:
Accesso necessario e proporzionato ai dati: Secondo il DPF UE-USA, l’accesso dei servizi di intelligence statunitensi ai dati è limitato a ciò che è considerato “necessario e proporzionato”. Ciò garantisce che il trasferimento dei dati sia conforme a rigorosi standard di protezione, bilanciando al contempo gli interessi di sicurezza nazionale.
Meccanismo di ricorso a due livelli: È stato istituito un nuovo meccanismo di ricorso a due livelli per proteggere i diritti dei cittadini dell’UE. Il primo livello prevede un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO) proveniente dalle agenzie di intelligence statunitensi, che indaga in modo indipendente sui reclami presentati dai cittadini dell’UE e riporta i risultati alle autorità di protezione dei Paesi di origine. Il secondo livello comprende il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante che esamina i ricorsi contro le decisioni del CLPO.
Diritti per i cittadini dell’UE: La decisione di adeguatezza garantisce ai cittadini dell’UE i cui dati sono trasferiti a società statunitensi autocertificate diversi diritti. Questi includono il diritto di accedere ai propri dati, richiedere rettifiche, cancellare i dati errati o trattati illegalmente e accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale.
Applicabilità e garanzie più ampie: Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA si estendono non solo ai dati personali trasferiti tramite il Data Privacy Framework, ma anche ai casi di clausole contrattuali standard e norme aziendali vincolanti. Ciò garantisce un adeguato livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento utilizzato.
Revisioni periodiche e monitoraggio continuo della conformità: Il Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche per garantire la conformità continua. La Commissione europea monitorerà gli sviluppi negli Stati Uniti per assicurare il mantenimento delle misure di salvaguardia stabilite.
Al momento, non sono necessarie azioni immediate. Le aziende statunitensi devono completare il processo di autocertificazione prima che i trasferimenti di dati personali possano riprendere. È importante includere nella privacy policy eventuali servizi statunitensi utilizzati, come Google Analytics, per garantire la conformità.
L’approvazione dell’EU-US Data Privacy Framework rappresenta un importante traguardo per la protezione dei dati personali nel contesto transatlantico.
